0
除了不應將重要信息存儲在cookie中,您建議使用什麼encyrption方法來加密cookie的內容?我應該使用什麼加密來加密cookie內容?
一個關鍵的問題是cookie只能保存這麼多的數據(我認爲它是4k?),所以加密算法不應該將內容的大小增加到一個成爲問題的程度。
目前的餅乾店:
WebsiteId (integer value
Name varchar(50)
Country varchar(50)
A
回答
5
這聽起來像你真的想防止被篡改的數據,而不是對其進行加密。一個簡單的方法是使用HMAC。基本上,你有一個服務器祕密,你用服務器祕密散列數據,並把散列輸出放在cookie中。爲了驗證它,你從cookie中移除哈希,使用服務器祕密計算其餘數據的哈希,然後根據cookie中的哈希檢查它。數據不能被篡改,因爲攻擊者無法計算正確的哈希,因爲他們不知道服務器的祕密。
因此,例如,如果數據是「富=酒吧&巴茲= qux」,你將計算的安全散列「富=酒吧&巴茲= qux」,說這是「EN0RmBxNGyo」,並設置cookie來「foo = bar & baz = qux & hash = EN0RmBxNGyo」。然後,當您獲取cookie時,您將刪除哈希以獲得「foo = bar & baz = qux」並計算其哈希值。你再次得到「EN0RmBxNGyo」,它與cookie中的散列相匹配,所以你接受cookie。
如果攻擊者改變「foo = bar & baz = qux」,哈希將不匹配,並且cookie將被拒絕。他們無法計算與更改後的數據相對應的哈希,因爲他們不知道用於計算哈希的服務器祕密。
請注意,您應該有一個合格的密碼專家審查您的實施。實施不良的HMAC很容易受到length-extension attacks的影響,事實上Flickr發現the hard way。
相關問題
- 1. 使用https時應該加密cookie內容嗎?
- 2. 我應該使用什麼策略來加密web.config部分?
- 3. 什麼加密被用來加密密碼
- 4. 我應該使用什麼類型的加密
- 5. Java加密:我應該使用什麼算法?
- 6. Cookie加密/解密
- 7. 我應該加密瀏覽器/ javascript內存的內容嗎?
- 8. API密鑰內容加密
- 9. 我應該使用什麼算法來加密和嵌入應用程序的密碼?
- 10. 我應該使用什麼mysql數據類型來加密文本?
- 11. 當我使用鹽漬的CRYPT_MD5加密我的密碼時,什麼在加密?
- 12. Jenkins使用什麼密碼加密?
- 13. MVC4使用什麼加密?
- 14. 使用AES加密來加密文件
- 15. Codeigniter Cookie加密
- 16. Cookie加密
- 17. 爲什麼我不應該使用md5()來輸入密碼?
- 18. 沒有什麼解密加密後我
- 19. 解密JSON Web加密中的內容加密密鑰
- 20. 我應該使用什麼密碼長度來處理Jasypt哈希密碼?
- 21. 爲什麼我們在3DES中使用加密 - 解密 - 加密序列
- 22. 我應該在iOS Android應用上使用什麼加密方法:AES128或3DES
- 23. 我應該加密我的Dropbox應用程序密鑰/祕密嗎?
- 24. 加密使用此代碼來加密我的密碼使用MD5
- 25. 什麼時候應該加密我的配置文件?
- 26. 忘了密碼 - 我應該添加什麼字段?
- 27. 爲什麼我應該讓JSON Web Token負載不加密?
- 28. 解密加密的文件內容?
- 29. 加密和解密xml文件內容
- 30. 使用RSA加密,我應該使用相同的證書來簽署和加密消息嗎?
爲什麼要加密呢?它是祕密嗎? –
如果數據太重要,請不要將其保存在cookie中,將其保存在會話中並將會話ID保存到cookie中。 – Prix
@DavidSchwartz安全通過默默無聞。 – loyalflow